Bezpečnost v uplynulém týdnu: chyby BlackICE PC Protection a Tor

Během posledního týdne byly na poli bezpečnosti odhaleny zranitelnosti v ochranném softwaru BlackICE PC Protection, podobně také v síťovém systému Tor. Sekce představující bezpečnostní software dostupný zdarma je tentokráte věnována automatickému hodnocení licenčních smluv v aplikaci EULAlyzer.

Bezpečnostní aktuality

Laserové tiskárny Dell Color

Verze: viz původní oznámení
Riziko: střední riziko (střední)
Server Secunia publikoval již dříve avizovanou středně kritickou zranitelnost v ovládacím softwaru k některým laserovým tiskárnám Dell Color, seznam jednotlivých verzí postiženého firmwaru je k nalezení na odkazované původní stránce. Kámen úrazu spočívá v nekorektním zpracování některých FTP i HTTP požadavků, díky čemuž má úspěšný útočník možnost způsobit DoS nebo obejít některá výchozí bezpečnostní omezení. Doporučené řešení spočívá v instalaci oficiálních záplat uvolněných přímo výrobcem, případně deaktivaci všech nevyužívaných síťových služeb.
Další informace: Secunia.com

Tor

Verze: 0.1.x
Riziko: střední riziko (střední)
Na úkor systému Tor byla publikována chyba, které útočník může zneužít k přesměrování procházející komunikace. Zranitelnost se přitom týká vnitřních serverů pomyslné linie síťového toku, tedy nelze explicitně provést přesměrování na nový výstupní uzel. Kromě toho může potenciální útočník dosáhnout také DoSu, kdy „shodí“ proces pracující ve jménu Tor. Přehled postižených verzí se nachází na níže odkazované stránce s původním oznámením, podobně také adresy odpovídajících opravených variant.
Další informace: Seul.org

BlackICE PC Protection

Verze: 3.6
Riziko: vysoké riziko (vysoké)
Aplikace BlackICE PC Protection podle nově zveřejněné zprávy neodolá zranitelnosti, která může zapříčinit DoS, a to v podobě pádu zmiňovaného softwaru. Na vině je nekorektní zpracování argumentu předávaného funkci NtOpenSection, které završuje absolutní vytížení v rámci procesu a končí chybou v odpovídajícím souboru rapdrv.sys. Ačkoliv chyba byla přímo potvrzena pro BlackICE PC Protection 3.6, postiženy mohou být také některé starší varianty.
Další informace: Matousec.com

MyBB

Verze: 1.1.7
Riziko: nizke riziko (nízké)
V aplikaci MyBB byla objevena méně závažná zranitelnost, kterou lze zneužít pro vložení vlastního kódu a docílit jeho provedení. Chyba je přesněji způsobena nedostatečným ošetřením předávaného vstupu při uploadu uživatelského souboru. Ačkoliv daná zranitelnost byla potvrzena pro MyBB verze 1.1.7, postiženy mohou být také některé další varianty. Doporučené řešení spočívá v ruční kontrole vstupu přímo úpravou původního kódu.
Další informace: Secunia.com

Z aktuálních článků posledního týdne stojí za přečtení například následující přírůstky zahraničních serverů:

XML propels security intelligence (Networkworld­.org)
Článek na téma bezpečnosti XML.

Protect Your Windows Systems (It-observer.com)
Možnosti zabezpečení systému Windows.

Web Application Security – Buffer Overflows: Are You Really at Risk? (Infosecwriter­s.com)
Útok v podobě přetečení zásobníku.

UX16

Bezpečnostní software zdarma

EULAlyzer

Homepage: Javacoolsoftwa­re.com
Lupa hodnotí: 1749

Eulalyzer

S pomocí této jednoduché aplikace si uživatel může nechat automaticky „prostudovat“ licenční ujednání, která tvoří nedílnou součást instalace prakticky všech programů. EULAlyzer v textu vyhledá relativně zajímavé pasáže, tedy například ty, jež obsahují odkazy na webové stránky, informace o instalaci dalších doplňků apod. Na základě strojového vyhodnocení je obsahu přiřazen odpovídající stupeň potenciálního nebezpečí a případně uživateli doporučeno přečtení celého ujednání.

Anketa

Zkoušeli jste někdy anonymizér Tor?

Zasílat nově přidané názory e-mailem

Workshop: UX design v návrhu webu

  •  
    Rychlý a efektivní návrh rozhraní.
  • Metoda Design Studio.
  • Prototypy - proč a jak prototypujeme.

Detailní informace o workshopu UX designu »